GCP 1

IAM

ID 및 액세스 관리 할 수 있도록 제공해주는 서비스 

누가(ID) 어떤 리소스(GCP Service)에 대한 어떤 엑세스 권한(Role)을 갖고 있지?

 

중앙에서 클라우드 리소스를 쉽게 관리할 수 있다 

관리자는 누가 어디서 어떤 리소스를 보았는지 확인할 수 있다 

 

 

Cloud IAM에서 사용하는 ID

• Google 계정
  • 개별 사용자 계정 (ex. 이메일 주소)
• 서비스 계정
  • 개별사용자가 아닌 애플리케이션에 속한 계정
  • 프로젝트에만 사용할 수 있는 내부 계정이라고 생각할 수 있음
• 구글 그룹
  • 여러 구글 계정과 서비스 계정을 모은 그룹
  • 고유의 이메일 주소가 있음 
  • 하나하나 권한을 부여하는 대신 그룹으로 묶어서 부여하면 한번에 권한을 부여
• G Suite
  • 지 수트 도메인(보통 회사 도메인)에서 생성된 모든 구글 계정으로 구성된 가상 그룹

 

---

 

접근관리와 관련 개념

• 리소스
  • 프로젝트, 인스턴스, 버킷 등등에 액세스 권한을 부여
• 권한
  • 리소스에 어떤 작업을 할 것인지 결정
• 역할
  • 권한의 모음
  • 사용자에게 역할을 부여하면 역할에 포함된 권한이 부여됨

 

 

정책 계층 구조

조직 노드 > 프로젝트 > 기타 리소스 로 계층 구조가 이루워져 있다 

https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy?hl=ko

리소스는 상위 리소스의 정책을 상속

리소스는 프로젝트에서 상속을 받고 프로젝트는 폴더에서 상속을 받고 폴더는 조직에서 상속을 받음

 

 

 

---

 

 

Cloud IAM 역할

 

소유자

• 프로젝트 내의 모든 리소스 관리에 대한 역할 및 관리

편집자

• 뷰어 권한에 상태 변경 작업도 포함

뷰어

• 읽기 전용 권한

 

커스덤 역할

- 세부적인 관리가 필요할 때 사용, 사용자가 직접 정의해 하나 이상의 역할을 결합

- 커스덤 역할을 만들기 위해서 소유자가 아닌 사용자에게 '조직 역할 관리자' 또는 'IAM 역할 관리자' 할당되어야 함 

(조직 수준, 프로젝트 수준에서는 커스덤 역할을 만들 수 잇지만, 폴더 수준애서는 커스덤 역할 만들기 불가능)

 

 

---

 

Compute Engine

 

GCP에서 제공하는 가상 머신 서비스 

네트워크에 연결된 가상 서버를 제공

 

다양한 이미지를 제공

- 데비안, CentOS, 우분투, 수세, 레드햇, 윈도우 서버

 

라이브 이전 기능

- 업데이트와 같은 이벤트가 발생해도 VM 인스턴스가 계속 실행할 수 있도록 live로 인스턴스를 이전해줌

 

선점형 VM

- GCP에 있는 유휴자원을 활용하여 저렴한 가격으로 컴퓨팅 리소스를 활용

 

 

 

 

VM 인스턴스

• 하나의 프로젝트는 여러개의 인스턴스를 가짐
• 인스턴스를 만들 때 해당 인스턴스 영역 운영체제 및 머신 유형을 지정
• 프로젝트를 삭제하면 인스턴스도 삭제됨
• 프로젝트 최대 5개의 VPC 네트워크를 가질 수 있음 (인스턴스 하나에 하나의 VPC를 연결함)
• 동일한 네트워크 안에 위치한 인스턴스는 로컬 영역 네트워크 프로토콜로 서로 통신 가능

 

 

 

 

실시간 이전 (Live Migration)

• 시스템 이벤트가 발생하더라도 인스턴스를 종료 및 재부팅할 필요 없이 계속 실행하도록 하기 위해서 만들어짐
• 사용자의 VM에 영향을 주지 않으면서 인프라를 보호하고 안정적인 상태로 유지
• VM 자체의 어떤 속성도 변경하지 않으면서 하나의 호스트 머신에서 동일 영역에 있는 다른 호스트 머신으로 단순히 전송

 

 

 

선점형 VM 인스턴스 

• GCP내 아무도 사용하고 있지 않은 리소스를 사용함으로써 저렴한 가격으로 사용

단, 제약사항이 존재

• 시스템 이벤트가 발생하면 언제든 선점형 인스턴스를 종료
• compute engine은 언제나 선점형 인스턴스를 24시간 동안 실행한 후 종료
• 실시간 이전(Live Migration)을 지원하지 않음

 

 

 

인스턴스 템플릿

• VM 인스턴스 및 그룹을 만드는데 사용할 수 있는 리소스

목적 : 동일한 구성의 인스턴스를 여러 개 만들기 위함

 

 

 

 

 

인스턴스 그룹

• 관리형 인스턴스 그룹
  • 인스턴스 템플릿을 이용해 동일한 인스턴스 그룹을 만들 수 있음
  • 인스턴스를 변경하고 싶은 경우 전체 인스턴스 그룹을 변경해야 함
  • 애플리케이션 기반의 상태 확인할 수 있는 자동 복구 정책을 설정 가능
  • 로드 벨런서를 붙여서 인스턴스 그룹의 인스턴스를 쉽게 배포 가능
  • 리전 범위에서 임의의 ip주소가 할당
  • 컨테이너를 이용해 애플리케이션 배포 간소화 가능

장점 - 자동으로 오토 스케일링을 지원함

 

 

1. 단일영역에 인스턴스를 배포하는 영역 관리형 인스턴스 그룹

 

2. 동일 리전 내 여러 영역에 배포하는 리전 관리형 인스턴스 그룹

    - 애플리케이션의 부하를 여러 영역에 분산시켜 높은 가용성을 제공

    - 자연 재해 등의 문제가 있어도 높은 가용성을 유지할 수 있음

 

 

• 비관리형 인스턴스 그룹
  • 임의로 다른 구성을 가진 인스턴스를 추가하거나 제거할 수 있음
  • 대신 오토스케일링, 자동복구, 롤링 업데이트 지원, 인스턴스 템플릿 사용이 불가능
  • 가용성이 높고 확장 가능한 작업 부하를 배포하는데 적합하지 않음